Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2392 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Set up Astaro as transparent bridge behind an unavoidable router?

nuclearfusion
Hi everyone,

I have a (hopefully!) simple Astaro setup question. Can you please help an Astaro neophyte?

We have a combined internet/telephone/ip television network that relies on a specific dsl modem/router unit to work, and the firmware of which is written so that DHCP on it cannot be turned off. It's not even an option in the advanced configuration options. (maybe to work with the IPTV part of it, I'm not too sure)

I have been using an Untangle setup in transparent bridge mode between the modem/router unit and the internal network switch. This has been working just fine, but it seems the Astaro software is more powerful with dual antivirus capability, https proxying, etc. so I have built up an Astaro box (P4-2Ghz/1.5 Gb RAM/two 3com 10/100 nics) to try it out on.

I'd like to set up Astaro the same way as the Untangle if that's possible. I have read all through the forums, followed the threads forwards and back and maybe have just got myself turned all around, but in any case I can't seem to get it to work.

I have two 3com nics bridged with one IP, and a packet filter rule set as bridge>any>any>all. (I see some people ask for a 3rd nic as a management port. I could install one if that would help or simplify this - would it?)

If I plug the Astaro unit into my switch I can log onto it, etc. When I insert it after the router and before the switch I can still log onto it, etc. but get no internet traffic through it.

I also tried setting a net MASQ rule and that didn't help.

I hope there is a simple way to do what I'm trying here - if so can anyone give me a quick explanation? or pointer to an explanation somewhere?

A thousand thanks in advance for any help!

Fusion


This thread was automatically locked due to age.
  • 0
    Hi,
    welcome aboard.
    I can help with some of your configuration.
    1/. in bridge mode you don't need a masq rule
    2/. your PF rule should be along the lines of internal network work ->any-> any -> allow which what I think you are saying in your post.

    What is the function of the switch straight switch or managed?
    Sounds like the switch might have some filtering rules in it.

    Do you have the ASG setup a DHCP client?

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi,

    Thanks for your suggestions. I will remove the Masq rule. 

    The packet filter rule I have set is as you suggested except I don't have "internal network" as an option - only "bridge". Do you think that matters?

    OK, to answer your questions - the switch is unmanaged simple 8-port Linksys, so no rules there. The Astaro is set with a static IP outside the DHCP range of my router.

    I'll report back with results as soon as I get to the unit.

    Maybe once I get this going I'll write the procedure as a how-to, mostly to clarify it for my own mind and maybe others want the same.

    Thanks!

    Fusion
  • 0
    Hi again,

    Thanks for your ideas. I did as suggested, still no web traffic through the unit until I turned off the http proxy, then it started working. No combination of proxy filters or rules could be turned on and have it work though. 

    Here's the summary of my situation:

    Astaro is to be used strictly as a security box, no dhcp. It's positioned after an unavoidable router with dhcp enabled.

    Astaro v7.504 clean install with two 3com nics, eth0 and eth1, both active and bridged.

    I have one packet filter rule: internal, any, any, allow

    All services are off, just the firewall is active with its' one packet filtering rule above.

    At this point the computers attached to the unit get nothing at all, not even IP addresses.

    From this stripped-down starting point I hope to get the unit running. Can anyone suggest to me what should be done from here?

    Many thanks in advance for any help!

    Fusion
  • 0
    OK, so I have blundered around and got it working. Here is a summary of the setup that seems to work:

    Network interfaces - bridged, ethernet standard connection, specified IP address and gateway
     
    Network services - DNS forwarders is blank, use assigned by ISP (but I configured a static IP address so that's the one I assigned it)

    DHCP disabled

    Network Security - one rule only: internal, any, any, allow

    NAT - no nat rules defined

    HTTP/S proxy - on, allowed network "internal", full transparent mode

    FTP on

    Mail Security on

    etc.

    Now it seems to be working, just giving me a hard time with certificates on websites using https.

    So I'm not done yet but much closer. To be honest I'm not sure what the change was that made it work.

    Fusion